Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Sicherheitslücken: Eine Million Patienten von Datenleck betroffen

Das Gesundheitsportal Doccirrus wirbt mit einem Datensafe und Ende-zu-Ende- Verschlüsselung , doch Forscher konnten Daten aus Arztpraxen dennoch abrufen.
/ Moritz Tremmel
10 Kommentare News folgen (öffnet im neuen Fenster)
Gesundheitsdaten sollten besonders gut geschützt werden. (Bild: mcmurryjulie/Pixabay)
Gesundheitsdaten sollten besonders gut geschützt werden. Bild: mcmurryjulie/Pixabay

Das Gesundheitsportal Doccirrus speichert Patientendaten vermeintlich sicher in einem "Datensafe Ihrer Arztpraxis" . Patienten sollen(öffnet im neuen Fenster) die Daten dann Ende-zu-Ende-verschlüsselt über das Gesundheitsportal aus dem Datensafe der Arztpraxis abrufen können. Dem Kollektiv Zerforschung gelang es jedoch(öffnet im neuen Fenster) , alle Patientendaten unverschlüsselt abzurufen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Referent*in der Dezernatsleitung DSRV-Services (w/m/div) Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)
UX-/ UI-Designerin/ Designer (m/w/d) Voll- oder Teilzeit Verkehrsverbund Rhein-Ruhr AöR, Gelsenkirchen (öffnet im neuen Fenster)
(Senior) Research Consultant Healthcare Research (m/w/d) Produkt + Markt GmbH & Co. KG, Wallenhorst (öffnet im neuen Fenster)
Medieninformatiker / UI/UX Designer (m/w/d) Angular Frontend Scheidt & Bachmann Fare Collection Systems GmbH, Mönchengladbach (öffnet im neuen Fenster)
IT-Supporter User-Helpdesk (m/w/d) NetCologne IT Services GmbH, Köln (öffnet im neuen Fenster)
Senior Data Engineer / Senior Data Analytics Developer (m/w/d) SDX AG, Frankfurt (öffnet im neuen Fenster)
Software Developer (m/w/d)* Alte Leipziger Lebensversicherung a. G., Oberursel (öffnet im neuen Fenster)
Inhouse Consultant SAP SuccessFactors (m/w/d) Hörmann Deutschland, Steinhagen (öffnet im neuen Fenster)

Ein erstes Problem stellten die Sicherheitsforscher fest, indem sie Entwicklertools im Browser öffneten und bei einem Besuch der Praxiswebseite auf Doccirrus feststellten, dass nicht nur die ausgegebenen Informationen übertragen werden, sondern auch die Zugangsdaten zum E-Mail-Postfach der Praxis. Dort konnten alle E-Mails eingesehen werden, die die Praxis bekommt - inklusive privatester Informationen der Patienten.

Nicht besonders sicherer Datensafe

Auch mit dem Schutz der Daten auf dem Datensafe genannten Rechner in der jeweiligen Arztpraxis ist es nicht weit her. Über das Gesundheitsportal von Doccirrus können die Patienten ihre Daten auf dem sogenannten Datensafe anfordern. Das Portal agiert dabei als Proxy: Damit es die übertragenen Daten nicht mitlesen kann, sollen sie Ende-zu-Ende-verschlüsselt werden.

Die Sicherheitsforscher warfen wieder die Entwicklertools des Browsers an und riefen Dateien ab. Dabei wurde die Liste der Dokumente mit IDs und Abruflinks verschlüsselt übertragen - allerdings nicht die Dokumente selbst.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

"Damit die Liste verschlüsselt werden kann, sendet der Browser mit, an wen verschlüsselt werden soll. Ganz naiv probieren wir aus, was passiert, wenn wir diese Information weglassen. Wir hätten erwartet, dass der Server hier einen Fehler anzeigt und wir nicht weiter kommen - doch stattdessen wird die Anfrage einfach beantwortet. Unverschlüsselt," schrieb Zerforschung.

Daten aller Arztpraxen konnten abgerufen werden

Anschließend stellten die Sicherheitsforscher fest, dass sie sich nicht nur eine Liste ihrer eigenen Dokumente, sondern alle Dokumente der Arztpraxis ausgeben lassen konnten: "Krankschreibungen, ausgestellte Rezepte, Diagnosen, Überweisungen an andere Ärzt*innen... wirklich ALLES." Auch eine Liste aller Patienten konnten sie sich anzeigen lassen, inklusive Name, Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse, teilweise auch die verordneten Medikamente sowie den Versicherungsstatus mit Versicherung und Versicherungsnummer.

Die Rechnungen, welche die Praxis stellte, sowie die Einträge in der Patientenakte und Zertifikate für die Kommunikation mit dem TI-Konnektor, der für die Abrechnung mit den Krankenkassen verwendet wird, waren ebenfalls einsehbar. Später fanden die Forscher heraus, dass sie auf dem Proxy beliebige Aktionen mit Administratorrechten ausführen konnten.

Die genannten Daten konnten jedoch nicht nur bei der einen Arztpraxis abgerufen werden, mit der die Sicherheitsforscher ihre Tests begannen, sondern bei allen Praxen, die Kunden bei Doccirrus sind - ein riesiges Datenleck, von dem circa eine Million Patienten betroffen sind.

ISO-Zertifikate sorgen nicht für Sicherheit

Die gefundenen Sicherheitslücken gehörten mit zu den trivialsten Lücken, betonte Zerforschung. "Fehler wie diese dürfen eigentlich nicht passieren und zeigen krasse Defizite in den Entwicklungs-Prozessen im Unternehmen auf. Da helfen auch ganz viele Zertifizierungen nicht - von denen das Unternehmen gleich eine ganze Reihe besitzt: ISO9001, ISO27001 und ganz viele verschiedene von der KBV. Doch bei keiner dieser Zertifizierungen wurde das Produkt tatsächlich kritisch überprüft."

Bei der Meldung habe das Unternehmen zwar betroffen reagiert und das Portal vorübergehend abgeschaltet. Von einer Information der Betroffenen, deren sensible und schützenswerte Gesundheitsdaten potentiell von Dritten eingesehen werden konnten, wisse man aber nichts, schrieb Zerforschung. Immerhin die Lücken sollen mittlerweile behoben sein.

Zerforschung fordert, die IT-Sicherheit gehöre bei Softwareherstellern ganz oben auf die Prioritätenlisten: "Wenn ein Produkt marktreif genug ist, um persönliche Daten zu speichern, muss es auch reif genug sein, diese für sich zu behalten."

Zur Startseite 10 Kommentare

Relevante Themen

SoftwareCloudSecuritySicherheitslückeVerschlüsselungWissenInnovation & ForschungDatensicherheitDatenleck